0,0
рейтинг
10 января 2013 в 22:57

Разработка → Новая уязвимость нулевого дня в браузерных плагинах Java

Похоже, месяц уязвимостей zeroday продолжается.

Очередная уязвимость в Java (CVE-2013-0422) уже включена в несколько эксплоит паков (BlackHole Exploit Kit, Cool Exploit Kit, Nuclear Pack). Вот что пишет создатель эксплоит пака BlackHole Exploit Kit:


Сообщается, что эта уязвимость очень похожа на обнаруженную в августе уязвимость в Java CVE-2012-4681. Атакующий может создать зловредную веб страницу и выполнить произвольный код на уязвимой системе. Работает на последней на текущий момент версии Java 1.7u10

Создатель Metasploit сообщил, что в ближайшее время в этот фреймворк будет включена описываемая уязвимость (уже выпустили, спасибо timukas). Напомнив, что уязвимость может работать независимо от ОС где установлена Java. Будь то Windows, Linux или MacOS.

Исходный код уязвимости в качестве исследовательских целей доступен здесь и при удачной работе запускает калькулятор на Windows-системах.

В качестве временной меры защиты рекомендуется отключить плагин Java в браузерах.
  1. Отключение плагина Java для веб-браузера Safari
  2. Отключение плагинов в Google Chrome
  3. Как правильно отключить среду исполнения Java в Opera for Windows
  4. Отключение плагинов в FireFox


UPD: видео демонстрация работы уязвимости:



UPD: Обновление 7u11 также не исправляет уязвимость
Агиевич Игорь aka shanker @shanker
карма
8,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (41)

  • +11
    Не успели отбурлеть говна по поводу рельс…
    • 0
      им еще бурлеть и бурлеть
  • +26
    И в очередной раз хочется поправить: не в Java, а в Java Browser Plugin.
    • +7
      От этого не легче. В больших компаниях этот плагин используется для работы, например, системы электронного документооборота и т.д. При чём имеются жётские требования ставить Java определённой версии. Если учесть, что многим интернет также нужен для работы, а кто-то и просто там бездельничает, чревато эпидемиями.
      • 0
        Для этого нужно всего ничего — два разных браузера. Один — с плагином нужной версии, второй — с отключенными плагинами.
        Первый для работы с софтом, второй — для инета.
        • 0
          А если распоряжение ничего лишнего не ставить и все пользуются только IE8 (т.к. Windows XP)?
          • +1
            Решение простое и очевидное: нужно два компьютера. Один с Java для работы с документами, второй без неё для выхода в интернет.
            • 0
              А еще два работника: один работает с Java, другой без…
              • 0
                Нет, я имел в виду по два компьютера каждому. Иначе придётся удваивать штат сотрудников.
                • +1
                  А в инет вообще надо с виртуалки ходить, да… ;)
                  • 0
                    Только с возрастом понимаешь, что в тупиковом положении инфантильная защитная реакция — обложить человека матом, да и хрен с ним! — хорошее решение. И ходить по улице лучше с топором. А в Интернет вообще не ходить. Никогда.

                    — О. Дивов, «Другие действия»
                    • 0
                      Шутки шутками, а всякий треш (типа кейгены и т.п.) я ищу (и тестирую) только с виртуалки. спокойнее оно как-то…
                • 0
                  Вы где-то потеряли свое чувство юмора…
          • 0
            А если распоряжение ничего лишнего не ставить и все пользуются только IE8 (т.к. Windows XP)?

            Отменить глупое распоряжение
      • 0
        В компаниях можно использовать AppLocker/SRP и требовать валидную подпись у аплетов.
      • 0
        Поставить приложение из веб-старт один раз, ярлык на десктоп, вылючить поддержку Java в браузере.
  • +5
    Пора бы уже сделать whitelist доменов для java-плагина. Для всех остальных блокировать либо делать запрос пользователю.
    Проблемы оно конечно не решит т.к. в том же BlackHole используются эксплойты для pdf и flash плагинов.
    Использование pdf.js вместо расширения от adobe тоже частично должен решить проблему.
    • +5
      Хром так и делает
      • 0
        Это хорошо, и полагаю процент пробиваемых систем на которых используется Chrome все же ниже, по сравнению с другими браузерами. Однако следует заметить что некоторые системы ДБО требуют для своей работы исключительно IE.
        • 0
          А IE регулируется политиками. Совершенно точно можно сделать whitelist на сайты, и, возможно, поигравшись с зонами и их настройками получится сделать ограничение на запуск скриптов с вайтлистом.

          Что же касается плагина, я не знаю Java, но у меня есть подозрение, что код может не знать URL по которому он был получен. Поправьте, если не прав, плз.
    • 0
      Можно установить максимальный уровень безопасности, тогда неподписанные аплеты не будут запускаться.
    • +1
      Пора бы уже сделать whitelist доменов
      NoScript
  • 0
    Прочитав первую часть поста собрался было броситься спасать медвежонка томкат. А это оказывается проблема плагина. Не знаю у кого как, но у меня этот плагин под ФФ отказался работать еще несколько обновлений назад, а чинить я его и не пробовал — необходимости до сих пор не возникло…
  • +6
    А поясните плз это только про Oracle Java или OpenJDK тоже?
  • +1
    Уже и в Nuclear Pack.
    • +3
      Похоже, HD Moore делает сначала для эксплоит паков, а потом уже для метасплоита :)
      • 0
        Где больше платят видимо :). Банков много на java plugin…
        Весь бифит или как его там…
  • –1
    как же страшно жить…
  • +3
    Метасплойт выпустили соответстующий модуль:

    dev.metasploit.com/redmine/projects/framework/repository/revisions/876d889d820bc30d49ad6aa9f62902316af660c1/entry/external/source/exploits/j7u10_jmx/Exploit.java

    Здесь немного интересного чтения по сабжу:
    malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html?m=1
  • +1
    Все таки решение выпилить Java Browser Plugin из MacOS было правильным, похоже это решето никогда не залатают.
  • +5
    Забавно. Не любое приложение на Java будет работать кроссплатформенно, зато вот уязвимости отлично кроссплатформятся. Ай да java :)
  • +2
    на сколько я понимаю работает начиная с 6-ой версии java. Видимо сильно в mozilla нахалтурили когда делали реализацию java scripting api… надеюсь что в 8-ой java для новой уже не мозиловской реализации этого api подобных косяков не будет.
    Вообще в хроме ни один аплет без разрешения не запускается и я думаю постепенно такая опция будет присутствовать по умолчанию во всех браузерах, хотя делать это всё (вместе с настройками по запуску из браузера для самой java как в её последнем релизе) нужно было ещё раньше.
  • +1
    Следует напомнить, что после последнего апдейта Java for OS X (не оракловской) во всех OS X-браузерах Java-плагин отсутствует напрочь (опять же, если Вы не ставили оракловскую Java), так что спим спокойно :)
    • 0
      Так даже в IE java-плагин отсутствует из коробки, его тоже нужно ставить по необходимости. Но прикол в том, что эти плагины очень любит банковский софт, так что кому приходится с ним работать — ставят плагины. Так что тут можно сказать автоматически создается очень приятная для мошенников целевая аудитория.
    • 0
      daringfireball.net/linked/2013/01/11/apple-java оказывается, и оракловский ява-плагин заблочен Apple.
  • 0
    Буквально позавчера и чисто случайно увидел что у меня NetBeans употребляет Java 6. Поставил 7 с офф сайта oracle. Думал ещё: а чем старше версия, тем больше дыр залатали. Сегодня увидел новость. Отрубил в Safari > Security > Enable Java. Так как в “Xprotect.plist” не увидел java 7. Непонятно
  • 0
    OKAY.
    firefox заблокировал плагин от jre 7u10, а есть необходимость запустить апплет, без него крокодил не ловится, не растет кокос, и вообще бизнес простаивает. Как его включить?
    обновление jre никакого результата не принесло (т.к. и так была последняя версия). Что
    • 0
      похоже что так:
      about:config -> dom.ipc.plugins.java.enabled=true
  • 0
    Вышел 7u11. Профиксили ли они ту дыру?
    • 0
      • 0
        Oracle утверждает, что уязвисмость CVE-2013-0422 пофиксенна — www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html Неужели весь фикс состоит в том, что они повысили уровень безопасности по умолчанию на максимум и теперь все аплеты будут запрашивать подтверждение пользователей на запуск? Но при этом разрешенные аплеты все ровно будут иметь возможность проникать в систему пользователя. Хотелось бы поподробнее узнать об этом.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.